代码审计之seacms v6.45 前台Getshell 复现分析

Posted wfzwebsecuity

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了代码审计之seacms v6.45 前台Getshell 复现分析相关的知识,希望对你有一定的参考价值。

1.环境:

php5.5.38+apache+seacms v6.45

seacms目录结构:

│─admin //后台管理目录
│ │─coplugins //已停用目录
│ │─ebak //帝国备份王数据备份
│ │─editor //编辑器
│ │─img //后台静态文件
│ │─js //后台js文件
│ │─templets //后台模板文件
│─article //文章内容页
│─articlelist //文章列表页
│─comment //评论
│ │─api //评论接口文件
│ │─images //评论静态文件
│ │─js //评论js文件
│─data //配置数据及缓存文件
│ │─admin //后台配置保存
│ │─cache //缓存
│ │─mark //水印
│ │─sessions //sessions文件
│─detail //视频内容页
│─include //核心文件
│ │─crons //定时任务配置
│ │─data //静态文件
│ │─inc //扩展文件
│ │─webscan //360安全监测模块
│─install //安装模块
│ │─images //安装模块静态文件
│ │─templates //安装模块模板
│─js //js文件
│ │─ads //默认广告目录
│ │─player //播放器目录
│─list //视频列表页
│─news //文章首页
│─pic //静态文件
│ │─faces //表情图像
│ │─member //会员模块界面
│ │─slide //旧版Flash幻灯片
│ │─zt //专题静态文件
│─templets //模板目录
│─topic //专题内容页
│─topiclist //专题列表页
│─uploads //上传文件目录
│─video //视频播放页
│─weixin //微信接口目录
└─index.php //首页文件

2.利用代码

poc1

http://seacms.test/search.php
POST:
searchtype=5&order=end if if:1)phpinfo();if(1end if

poc2:

POST:
searchtype=5&order=end ifif:1)$_POST[func]($_POST[cmd]);//end if&func=system&cmd=whoami
searchtype=5&order=end ifif:1)$_POST[func]($_POST[cmd]);if(1end if&func=system&cmd=whoami

3.执行效果
技术图片

技术图片

4.漏洞分析

 技术图片

漏洞产生链如上图所示,在search.php的212行下断点,因为在此处产生了parseIf()函数的调用,并且最终的命令执行是发生在此函数中,用payload打一次,将停在此处,进入此函数进行分析

技术图片

技术图片

如上图所示,其中buildregx函数是构建php的原生正则表达式

技术图片

接下来使用$labelRule规则进行preg_match_all匹配出了所有满足的结果,并放在$iar中,我猜测这里class顶一个两个css样式,通过if条件来调整按钮样式的

技术图片

技术图片

技术图片

技术图片

通过这4行代码将$iar中的每条记录分为条件,以及条件体

技术图片

接着判断正则$labelRule2所表示的字符串是否包含于条件体中,默认是不包含的,并且$labelRule3中包含的else字符串是出现在条件体中的,所以进入循环,此时将条件体又分为两块,

分别代表两种不同的css样式,接着就是触发漏洞的核心,在这里也发现了eval函数的调用,用于代码执行的经典函数

技术图片

如上图所示,将$strif变量与if条件进行了拼接,那么此处是否存在代码注入的情况?的确如此,此时可以看看$strif的值

技术图片

其中第95条就包含有我们的payload,那么此时将payload和if条件进行拼接可以得到:

if(1)phpinfo();if(1)

此时成功闭合了php语句,并且跟后面的$ifFlag条件体也成功闭合了,所以能够成功进行代码执行!!!代码注入真刺激~,到此已经实现RCE,那么想想为啥会造成这样的漏洞,我向上看看变量是如何传递过来的,

 技术图片

parse函数就是在main.class.php这个类文件中定义的处理if代码块的函数,其入口参数为$content,那么回到调用parseIf函数的地方,也就是search.php,因为我们漏洞文件也在该文件,那么我们POST传递过来的payload最终会传递到content然后再进入到parseIf函数进行处理,而该处调用又是存在于echoPageSearch()函数中,那么回到该函数入口处,在其上方发现了对其的调用,现在在此文件全局搜索以下POST字符串

技术图片

技术图片

技术图片

如上图所示,没有搜索到POST,那么有可能包含在common.php中,进去看看

技术图片

正与我们所猜测的一样,此时可以在注释中发现,其通过一段循环将POST中的值注册为变量了,并且我们提交的标量里不能包含cfg_和GLOVALS字符串,并且在COOKIE中不能够设置,这里是为了防止变量覆盖

技术图片

技术图片

接下来还调用了_RunMagicQuotes()函数对变量值进行过滤,实际上进行了一个addslashes()函数的操作,并不影响我们实际所用的payload

技术图片

可以从上图看到传递进来的变量直接注册为内部的变量了,并且变量内容没有发生变化,那么说明都是我们可以控制的,因为最后parse处理的变量是$content,那么我们需要弄清$order是如何赋值到$content中的,

再次文件中搜索$order的使用

技术图片

可以找到4处调用,第一处是在函数内部global来引用,第二处又将$order赋值给$orderStr,但是这样赋值没有影响到$content变量,因此看最后一处调用

技术图片

如上图所示,将$content中的searchpage:ordername部分替换为了$order变量的值,为了更清楚的看看$content的内容是如何变化的,我们可以在158行和160行处下断点,重新执行一次payload,此时可以在此断点处查看$content的值,并将替换前后的$content值进行对比,可以看到str_replace()函数将进行3处替换

技术图片

技术图片

即在此处完成了payload对$content变量的注入,之后在最终调用parseIf()函数处理$content变量之前,又对$content的内容进行了多次替换,但是并没有影响到我们的payload,接下来看看程序是如何解析出来我们的paylaod的

上面已经说过程序是利用

if:(.*?)(.*?)end if

这一串正则来对$content变量进行匹配的,那么此时对于我们注入payload的部分,最终是eval()中包含$strIf变量,那么由于是贪婪匹配,所以首先将会匹配到第一部分if:"end if 将“匹配出来作为一部分,然后下一次匹配再匹配到1)phpinfo();if(1作为另一次匹配的部分

技术图片

可以从$iar变量的值中验证我们的推理是正确的,这里存在3处相同的匹配是因为之前$order对$content进行了3次payload注入,这样的构造的确很巧妙,首先1)phpinfo();if(1这一部分要闭合后面eval部分,然后再要满足前面正则匹配的逻辑能够把payload完整匹配出来,

这可能也是开发人员没有想到的,之后拼接的方法上面已经讲了,漏洞的整个分析流程到此结束。

5.修复方法:

在64行添加

$order = ($order == "commend" || $order == "time" || $order == "hit") ? $order : "";

技术图片

 

以上是关于代码审计之seacms v6.45 前台Getshell 复现分析的主要内容,如果未能解决你的问题,请参考以下文章

[PHP代码审计]SEACMS命令执行漏洞

[PHP代码审计]SEACMS命令执行漏洞

代码审计 熊海cms V1.0

堕落小白的前台sql注入cms代码审计

seacms V11.5代码执行漏洞(0day)

seacms V11.5代码执行漏洞(0day)